Veiliger ondernemen, een praktische gids

Transcriptie

1 1

2 Veiliger ondernemen een praktische gids In 8 eenvoudige stappen naar veiliger ondernemen Veiliger ondernemen een praktische gids is een uitgave van KPN B.V. Concept en realisatie: Fast Moving Targets Redactie: Erwin Blom Beeldredactie en opmaak: Ride & Adfactor Uitgave: April 2014 KPN B.V. Maanplein CK Den Haag KPN Uitgegeven in eigen beheer Alle rechten voorbehouden Niets uit deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand en/of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of op enige andere manier zonder voorafgaande schriftelijke toestemming van de auteurs. De auteurs zijn verantwoordelijk voor de inhoud van deze uitgave en doen er alles aan deze actueel en juist te houden. We kunnen echter niet de volledige juistheid garanderen en er kunnen geen rechten aan worden ontleend. Aansprakelijkheidsclaims tegen de auteurs die betrekking hebben op schade van materiële of immateriële aard, veroorzaakt door het gebruik of het niet gebruiken van de aangeboden informatie respectievelijk door het gebruik van onjuiste en onvolledige informatie zijn principieel uitgesloten, in zoverre geen bewijsbaar opzet of grove nalatigheid van de auteur aanwezig is. Alle inhoud is vrijblijvend. De auteurs behouden zich uitdrukkelijk het recht voor delen van de pagina s zonder aparte aankondiging te wijzigen, aan te vullen, te verwijderen of de publicatie tijdelijk of permanent stop te zetten. 2

3 Inhoudsopgave Voorwoord 4 Veiligheid 5 Waarom is veiligheid een issue? 5 Hoe onveilig is internet? 6 Aarzel niet deskundigheid in te huren 6 Stap 1: Inventariseer systemen en afhankelijkheden 7 Veiligheid begint in eigen huis 8 Stap 2: Stel richtlijnen op 10 Veilig online werken 11 Wat is hacking? 11 Stap 3: Organiseer verantwoordelijkheden 12 Zo herken je dat je computer is gehacked 13 Zo herken je online oplichters 13 Stap 4: Zorg voor bewustwording 14 Betrouwbaarheid 15 Continuïteit van IT is cruciaal 15 Stap 5: Beveilig data 17 Personen 18 Zorg voor beveiligingsbewustzijn bij medewerkers 18 Ga zorgvuldig met persoonsgegevens om 19 Gebruik je gezond verstand 19 Stap 6: Beveilig systemen 21 Gebruiksvoorwaarden 22 Wetten en regels 22 Stap 7: Zorg voor updates en back-ups 23 De toekomst 24 Stap 8: Fysieke beveiliging 25 3

4 Voorwoord In het voorjaar van 2012 moest KPN voor het eerst in haar geschiedenis een code rood afkondigen vanwege een grote hack. Ik herinner me nog dat ik naar het journaal keek en dacht dat het er voor KPN niet veel slechter kon. Deze hack had grote gevolgen voor het bedrijfsleven, die overigens niet allemaal slecht waren, aangezien ze ook als een belangrijke wake-up call dienden. Het topmanagement van KPN reageerde door security en privacy tot belangrijke strategische doelen te maken en voegde de daad bij het woord door ook resources, budget en mandaat beschikbaar te stellen voor grootschalige beveiligings-programma s. Eén van de belangrijkste initiatieven was het oprichten van het Chief Information Security Office in het najaar van Ook begon KPN aan een grote schoonmaak, door een project op te starten dat beveiligingsproblemen opspoort en aanpakt. In aanvulling hierop heeft KPN ook het permanente toezicht op security ingericht door operationele capaciteit vrij te maken voor twee Security Operations Centers, zowel voor intern toezicht als voor toezicht op klantomgevingen. Onze missie is om consequent veilige producten en diensten te leveren aan onze klanten en zo het vertrouwen van onze klanten en de samenleving te winnen. Deze missie wordt een steeds grotere uitdaging in het zicht van de zich ontwikkelende cyber wapenwedloop. In het afgelopen anderhalf jaar dat ik CISO van KPN ben moest er regelmatig worden ingegrepen om onze klanten en onze netwerken te beschermen tegen bedreigingen als cybercrime, malware, DDoS, ransomware enz. Deze bedreigingen zijn een onderdeel geworden van de dagelijkse digitale praktijk en nemen alleen nog maar toe in frequentie. Daarom proberen wij in onze security aanpak de gehele security lifecycle te beslaan, preventie, detectie, respons en verificatie. We bereiken dit door het neerzetten van een solide security beleid, proactieve en reactieve detectie van incidenten, snelle reactie op incidenten en grondige verificatie van de geboden oplossingen. Wij geloven dat iedereen in het speelveld een rol speelt in het scheppen van een veilige online ervaring, gebruikers en service providers net zozeer als hardware en software leveranciers. De rol van KPN is hierin ook om te informeren en uit te leggen hoe we kunnen samenwerken om een cyberweerbaar en veilig Nederland een realiteit te maken. Ik hoop dat dit handboek kan dienen als een eerste stap van uw reis in security awareness. Veel leesplezier Jaya Baloo Chief Information and Security Officer KPN 4

5 Veiligheid Waarom is veiligheid een issue? Dat we ons bedrijf of huis goed beveiligen tegen inbrekers, is een vanzelfsprekendheid. Goede sloten, een inbraakalarm, een kluis, het is logisch. Online gaan we doorgaans slordig om met veiligheid. Terwijl de gevaren daar zeker zo groot zijn. Klantgegevens, documenten en andere bedrijfskritische inhoud moeten net zo veilig gesteld worden als huis en haard. Over computerkrakers lezen we wel, over afluisteren van digitale gesprekken horen we wel, maar tastbaar is het niet. We zien de zwakke plekken niet, we voelen de gevaren niet. Maar ze zijn er wel degelijk. Dankzij internet hebben we allemaal rechtstreeks contact met de hele wereld, maar de hele wereld potentieel ook met ons. Want dat draadje met internet of die verbinding via Wi-Fi biedt een zee van mogelijkheden, maar brengt ook risico s met zich mee. Omdat het kwaadwillenden mogelijk toegang tot de computersystemen van bedrijven geeft. Daarom is het belangrijk om maatregelen te nemen om met een gerust hart te ondernemen. Je bent zo veilig als je zwakste schakel. Dat geldt in huis of bedrijf, dat geldt online ook. Sommige inbrekers gaan gericht op hun doel af, anderen rijden door de straat op zoek naar mogelijkheden. Dat is op internet niet anders. Digitale criminelen zijn continu op zoek naar kwetsbare systemen om bijvoorbeeld bedrijfsgegevens te ontfutselen of virussen via te verspreiden. Ze irriteren en zorgen voor schade. Die schade kan beperkt zijn, het is vervelend als een computer traag wordt doordat hackers je systeem gebruiken voor hun wereldwijde werkzaamheden, maar ook ingrijpend. Bijvoorbeeld doordat klantgegevens op straat komen te liggen of doordat geld van bankrekeningen ontvreemd wordt. 5

6 Hoe onveilig is internet? De grootte van zogenoemde cybercriminaliteit is lastig te becijferen. Het zou volgens een onderzoek van Center for Strategic and International Studies op jaarbasis om een bedrag tussen 300 miljard en een biljoen gaan. Daarin wordt meegenomen dat systemen na cyberaanvallen gerepareerd moeten worden, maar ook wordt reputatieschade als kostenpost opgevoerd. Hoe groot de exacte schade is, is dus niet makkelijk te benoemen, maar dat de schade ingrijpend kan zijn, is voor iedereen evident. Er zijn gelukkig maatregelen tegen te nemen. Dit e-book is een praktische gids om onmiddellijk mee aan de slag te gaan. Zowel bedrijfsmatig als persoonlijk. Daarbij is een belangrijk aspect dat online veiligheid zowel een externe als een interne component heeft. Aanvallers van buiten zijn een risico, maar ook slordigheid in eigen onderneming kent gevaren. Beide verdienen grote aandacht. Zorgeloos online ondernemen kent drie elementen: beveiligen, zorgen voor betrouwbare technische oplossingen en aandacht voor de personen. Eén voor één worden ze behandeld. Aarzel niet deskundigheid in te huren Bedrijfsinformaties, gegevens van klanten, het is kritische materie. Essentieel voor een bedrijf en dus belangrijk om goed te beschermen. We kunnen veel zelf, dat laat dit e-book zien, maar tegelijk zullen weinigen de technische kennis hebben om tot op het niveau van firewalls actief te zijn. Zorg dan ook voor interne of externe deskundigheid om apparaten en infrastructuur zo goed mogelijk te verzorgen. Laat een goede scan doen, maak samen met deskundigen een veiligheidsplan waarin updates, backups en mee zijn opgenomen. 6

7 STAPPENPLAN BEVEILIGEN Stap 1: Inventariseer systemen en afhankelijkheden Breng de bedrijfsprocessen van je onderneming in kaart en van welke informatiesystemen ze afhankelijk zijn. Maak een overzicht van de persoonsgegevens die jouw bedrijf bewaart. Breng in kaart welke risico s je loopt en zorg dat je actuele informatie hebt over dreigingen en risico s. Zet op een rij hoe je bedrijf afhankelijk is van digitale informatie en wat de gevolgen zijn als iets fout gaat. Zorg dat bij nieuwe investeringsbesluiten beveiliging een van de criteria is voor je keuze. Laat je informeren over de wettelijke eisen die mogelijk voor jouw bedrijf of sector gelden. Kijk in ieder geval naar de Wet Bescherming Persoonsgegevens. Tip: Kies een goed wachtwoord Wees niet voorspelbaar. Zorg dat raden van een wachtwoord moeilijk is. Minimaal 8 tekens en een combinatie van kleine letters, hoofdletters, cijfers en speciale tekens. Gebruik daarbij verschillende wachtwoorden bij verschillende diensten. Tip: Wissel regelmatig van wachtwoord. Doe dat systematisch. Pas bijvoorbeeld maandelijks je wachtwoord aan en zorg dat je door een automatische melding via je computer of mobiel herinnerd wordt het te doen. 7

8 Veiligheid begint in eigen huis Beveiligen begint in eigen huis. Letterlijk. Wie met zijn bedrijf in het bedrijfspand zijn eigen computers en serverpark heeft, slaat daar zijn waarde op. En moet er dus voor zorgen dat daar niemand bij kan. Want wie veel geld besteedt aan online beveiligen, maar offline steken laat vallen, loopt nog evenveel risico. Het zal niet de eerste keer zijn dat inbrekers met een computer onder de arm een pand verlaten. Zorg dus dat servers achter gesloten deuren staan. En zorg dat computers met veiligheidskabels vergrendeld zijn. Ook goede brandbeveiliging is belangrijk. Sla computers en harde schijven in een veilige omgeving op. 8

9 Veel hackers richten zich op de mens als zwakste schakel. Omdat ze weten dat we gevoelig zijn voor autoriteit en dus een wachtwoord invoeren als een bank daarom vraagt. Omdat ze weten dat we graag een grote prijs winnen en ons dus verrassen met groot geld. En omdat ze weten dat we bekenden vertrouwen, doen ze zich voor als anderen. Het klopt allemaal net niet, zie je bij nadere bestudering van afzender en link, maar het lijkt wel heel echt. Heel goed opletten is een belangrijk devies. Snap dat en dat je bank je nooit per mail om inloggegevens vraagt. En kijk heel goed naar afwijkende adressen en taalgebruik. KPN biedt tal van computerveiligheidsdiensten Met het Internet Veiligheidspakket van KPN bent u optimaal beschermd tegen virussen en andere gevaren op internet. 7,95 euro per maand. Met het Mobiel Internet Veiligheidspakket voor uw smartphone of tablet voorkomt u dat bij verlies of diefstal uw gegevens in verkeerde handen komen. 2 euro per maand. Meer info Of lees meer over het thema veiligheid op KPN&Co: 9

10 STAPPENPLAN BEVEILIGEN Stap 2: Stel richtlijnen op Stel beveiligingsrichtlijnen voor je bedrijf op. Beschrijf daarin welke informatie beschermd moet worden en hoe de organisatie en de medewerkers met beveiliging om moeten gaan. Zorg ervoor dat de richtlijnen over het gebruik van ICT en internet duidelijk zijn. Denk goed na wat medewerkers wel en niet mogen en of en hoe je dat als werkgever mag controleren. Zorg ervoor dat medewerkers en leveranciers de richtlijnen kennen. Licht het bijvoorbeeld toe in introductiegesprekken en zet het in de huisregels. Stel vast hoe om te gaan met beveiligingsincidenten. Bij wie kunnen medewerkers incidenten melden en hoe moeten klanten worden geïnformeerd. Bepaal of medewerkers eigen computers en mobiele apparaten mogen gebruiken en maak afspraken over hoe veilig te werken. Verwerk dit in je richtlijnen. Zorg voor richtlijnen op het gebied van social media en leg het belang uit aan medewerkers. Laat medewerkers en opdrachtnemers indien van toepassing een geheimhoudingsverklaring tekenen en leg dit vast in de richtlijnen. Tip: zet automatische updates aan De laatste versies van software zijn doorgaans de meest veilige. Zet daarom de automatische update functies die gangbaar is bij bijvoorbeeld Windows of MacOS aan. Tip: laat je browser voor je werken Laat je browser voor je werken. Om zo veilig mogelijk te surfen, kun je in je browser zelf bepalen hoe met bepaalde code of sites wordt omgegaan. Zo kun je bijvoorbeeld zeggen dat je alleen na toestemming PDF-files wilt downloaden

11 Veilig online werken Veel gevaar komt van binnen. Dat kan in dit schrijven niet vaak genoeg gezegd worden. En dat zullen we ook blijven doen. Door slordigheid met updates, door onachtzaamheid bij het openen van documenten, door voorspelbaarheid van wachtwoorden. Maar de risico s van buiten zijn natuurlijk ook gigantisch. Hackers liggen op de loer. Wat is hacking? In de volksmond heeft het woord hacking een negatieve bijklank gekregen. Maar in de originele betekenis is dat allerminst het geval. Hackers zijn in die zin slimme programmeurs die onconventioneel kunnen denken en oplossingen voor complexe technologische vraagstukken proberen te vinden. Of het zijn mensen die op zwakke plekken in computersystemen van bedrijven of overheden wijzen. Er zijn goede en slechte hackers. De laatste categorie is voor eigen gewin bezig. Die probeert bijvoorbeeld bedrijfsgevoelige informatie te vergaren of gebruikersnamen en wachtwoorden van banken en andere instellingen te onderscheppen. Waar het alleen al vervelend is als je als persoon of bedrijf wordt gehacked, is het goed om te realiseren dat het gevaar veel groter is. Dat hackers via jouw gegevens andere systemen kunnen binnendringen. Je bent dan de toegangspoort tot een netwerk. Ook om die reden moet iedereen de verantwoordelijkheid voelen om zo veilig mogelijk te opereren. 11

12 STAPPENPLAN BEVEILIGEN Stap 3: Organiseer verantwoordelijkheden Stel iemand in de organisatie aan die verantwoordelijk is voor de beveiligingsvoorschriften. Maak duidelijk wie in de organisatie welke beveiligingstaken en -verantwoordelijkheden heeft en zorg dat iedereen weet bij wie ze moeten zijn met vragen en opmerkingen. Zorg voor een procedure voor het goedkeuren van (nieuwe) ICT-voorzieningen en zorg dat dit bekend is in het bedrijf. Wijs de medewerker aan die de werking van beveiligingsmaatregelen regelmatig controleert en die de directie informeert. Maak afspraken met dienstverleners over beveiliging. Wees kritisch bij de selectie van een ICT-partner en neem beveiliging mee in de afspraken. Tip: Zet je scherm (automatisch) op slot Een onbewaakt ogenblik is er snel. Zo kan niemand bij je gegevens. Tip: Beveilig ook je mobiel of tablet Elke schakel van je systeem kan zwakheden vertonen. Mobiel en tablet horen daar ook bij. Zorg in ieder geval voor een wachtwoord of pincode en let op bij gebruik van externe wifi-punten. 12

13 Zo herken je dat je computer is gehacked Computerhackers kunnen je computer tijdelijk gebruiken en al hun sporen na afloop wissen. Maar er zijn wel signalen die op computerhacks kunnen wijzen. Als een computer duidelijk trager dan anders is, dan kan dat bijvoorbeeld komen door een hack. Maar ook vreemd gedrag van software is zo n signaal. Of mappen dan wel bestanden die verdwijnen of opeens van andere namen worden voorzien, kunnen op een gehackte computer duiden. Zo herken je online oplichters We kennen allemaal de mailtjes uit het buitenland van een vreemd -adres dat een grote prijs op ons ligt te wachten, dan is het helder dat er iets mis is. Maar oplichters worden steeds slimmer. Dus is het zaak om alert op te zijn. Zogenoemd social engineering wordt vaak gebruikt om aan wachtwoorden te komen en zo systemen binnen te dringen. Personen doen zich voor als een bekende of een betrouwbare instantie en proberen aldus persoonlijke informatie te bemachtigen. Hoe je dat herkent? Aan de vraag om persoonlijke gegevens, bijvoorbeeld. Want gerenommeerde instanties als banken en creditcardmaatschappijen doen dit nooit. Of aan de schijn van urgentie. Dat nu een wachtwoord echt vervangen moet. Of aan een link naar een banksite die uiteindelijk vals blijkt. 13

14 STAPPENPLAN BEVEILIGEN Stap 4: Zorg voor bewustwording Bespreek het belang en de regels van informatiebeveiliging regelmatig. Zorg ook dat de beveiligingsrichtlijnen bij iedereen bekend zijn. Informeer medewerkers over het omgaan met gebruikersaccounts en wachtwoorden en herinner ze regelmatig aan de afspraken. Stel regels op en informeer medewerkers over de manier waarop usb-sticks, smartphones en tablets moeten worden beveiligd en wat te doen bij verlies. Stel regels op en bespreek deze binnen het bedrijf over de manier waarop met bedrijfsinformatie moet worden omgegaan. Organiseer bewustwordingscampagnes. Bijeenkomsten, poster-acties e.d. Leg verantwoordelijkheden van medewerkers in het kader van informatiebeveiliging vast in het arbeidscontract. Vraag bij een incident om een evaluatie en neem het voortouw dit te bespreken met medewerkers. Doel is om ervan te leren, niet om te straffen. Tip: Kijk kritisch naar de afzender Oplichters proberen zich vaak als een ander voor te doen. Als bank bijvoorbeeld. Maar kijk goed naar het -adres van de afzender. Lijkt vaak op eerste gezicht echt, maar klopt in werkelijkheid net niet. Tip: Bekijk links goed Ze zijn goed in het nabouwen van sites van instanties of bedrijven, die oplichters. Maar de url verraadt doorgaans de neppers. Kijk dus ook goed naar de link waarop je klikt. 14

15 Betrouwbaarheid Continuïteit van IT is cruciaal Het is belangrijk om te kunnen vertrouwen op de basis van je bedrijf. Een groot deel van het bedrijfskapitaal zit in computers en netwerken waar ieder moment van de dag over beschikt moet kunnen worden. En waar mensen op moeten kunnen vertrouwen. Daarom is het dus is het belangrijk om met goede hedendaagse systemen en technieken te werken in combinatie met goede backups. Continuïteit van je bedrijf begint bij stabiele en betrouwbare technologie. Steeds meer ondernemingen nemen hun vlucht ook in the cloud, beschikken nog wel over de benodigde tools en technieken maar hebben hun systemen blij clouddiensten staan die zorg dragen voor gegarandeerde uptime en goede backupservices. Dan zijn er ook geen zorgen dat bij brand data in rook opgaat. 15

16 Betrouwbaarheid is ook dat kennis en kunde gedeeld wordt. Dat bij ziekte een ander kan overnemen, dat altijd toegang tot belangrijke informatie van betrokkenen kan worden geboden. Ook daar speelt cloudcomputing een belangrijke rol bij. Door internet technologie is het niet meer strikt noodzakelijk om met elkaar in hetzelfde kantoorpand te zijn om toch effectief met elkaar samen te werken. Online kunnen kenniswerkers prima met elkaar samenwerken. Gebruik cloud diensten dus om samen te werken. KPN biedt een scala van online opslag en backup-diensten. Met Opslag Online kunt u veilig en eenvoudig bestanden in de cloud opslaan, bestanden delen en versiebeheer van documenten verzorgen. Vanaf 0 euro per dag. Met back-up online maakt u snel en eenvoudig automatische back-ups van uw bestanden. KPN slaat uw gegevens veilig op. 6 euro per maand. Met Back-up Online voor Servers maakt u via internet automatisch back-ups van bestanden op uw server. Vanaf 24,95 euro per maand. Meer info Of lees meer over het thema veiligheid op KPN&Co: 16

17 STAPPENPLAN BEVEILIGEN Stap 5: Beveilig data Maak een overzicht van het type data dat op je systemen staat opgeslagen. Zorg dat je bedrijf alleen die gegevens verzamelt die echt nodig zijn. Maak deze richtlijnen bekend bij medewerkers. Zorg ervoor dat vertrouwelijke of geheime informatie beschermd is met encryptie. Zorg ervoor dat je afspraken hebt gemaakt wie de sleutelbos beheert. Zorg dat datatransport vertrouwelijk blijft door encryptie toe te passen. Bespreek dit met je ICT-partner. Stel een meldprocedure op voor de situatie wanneer gegevens toegankelijk blijken te zijn geweest voor derden of er een ander beveiligingsincident is geweest. Persoonsgegevens dienen volgens de wet adequaat beschermd te worden. Hier vind je meer informatie. Bijzondere persoonsgegevens mag je alleen onder bepaalde voorwaarden hebben en beheren. Aan de beveiliging hiervan worden strengere eisen gesteld. Stel een procedure op voor het vernietigen of verwijderen van vetrouwelijke gegevens. Gegevens mag je namelijk maar een bepaalde termijn bewaren. Tip: Let op beveiligde sites Kijk bij het surfen over andermans netwerk goed naar de url s. Weet dat internetadressen die met beginnen met encryptie werken en dus veiliger zijn. De s staat in dit geval voor secure. Tip: Kijk goed uit Bestanden kunnen virussen bevatten. Kijk goed naar de documenten die binnen komen en hanteer de regel bij twijfel checken. Bijvoorbeeld bij een site als waar verdachte url s en documenten gescand kunnen worden. 17

18 Personen Zorg voor beveiligingsbewustzijn bij medewerkers Naast beveiligen en betrouwbaarheid is er een derde component die vaak over het hoofd wordt gezien. De personen. Het kwam al regelmatig langs: de mens blijft altijd een mogelijk zwakke schakel. We moeten zelf alert zijn, moeten zelf stipt zijn. Iedere steek die we daar laten vallen houdt risico in zich. Want zoals gezegd kan een inbreker er ook fysiek met een computer vandoor gaan als die niet in een afgesloten ruimte staat. En zijn we gevoelig voor social engineering, persoonlijke berichten die echt lijken, maar geen ander doel hebben dan ons informatie te ontfutselen. En zijn we nonchalant of ronduit slordig als het gaat om wachtwoorden. Kortom: veilig online ondernemen begint bij de mensen. Ieder bedrijf moet zorgen dat het personeel doordrongen is van de gevaren en de rol die mensen spelen bij veilig ondernemen. 18

19 Ga zorgvuldig met persoonsgegevens om Maar ook dit onderwerp heeft meerdere aspecten. Dat je in een zakelijke setting goed moet omgaan met de gegevens van je klanten, is sinds jaar en dag zo. Maar door de opkomst van internet en met name social media is daar een aspect bijgekomen. Informatie is makkelijker publiceerbaar, deelbaar en vindbaar. En niet alleen gegevens worden makkelijker openbaar, ook onze online gesprekken zijn door anderen mee te luisteren en blijven online bewaard en dus ook op termijn vindbaar. Dat zorgt ervoor dat zorgvuldig met gegevens moet worden omgegaan, dat bewustzijn belangrijk is over de mogelijke impact van online publiceren en communiceren. Gebruik je gezond verstand In een zakelijke omgeving spelen er twee elementen: de ondernemer plus zijn personeel enerzijds en zijn klanten anderzijds. Om bij de eerste categorie te beginnen. Vroeger werkte je overdag bij een baas en leidde je daarbuiten een privéleven. Ging je naar de toneelvereniging, de voetbalclub of de kroeg. Die werelden hadden weinig met elkaar te maken. Sinds social media lopen die twee werelden door elkaar heen. De bankemployee die overdag over zijn werk twittert, bericht s avonds over zijn stapplannen. En de vakbondsman die het ene moment over acties bericht, vertelt later over zijn vrijwilligerswerk. Er zijn mensen die verschillende accounts hebben voor werk en privé, maar de praktijk leert dat die twee vroeg of laat door elkaar gaan lopen. En omdat het maar beter is om daar rekening mee te houden, geldt ook hier voor werkgever en werknemer: gebruik je gezond verstand. Een personeelslid kan als ambassadeur optreden en als stoorzender. Doe aan opleiding. Laat zien hoe social media voor je kan werken omdat het krachtig is voor klantcontact en werving van mogelijke nieuwe klanten. Maar laat daarbij ook zien dat het belangrijk is dat geen vertrouwelijke informatie naar buiten mag, dat geen informatie over klanten op straat mag komen te liggen. 19

20 Steeds meer mensen werken op meer locaties dan alleen de bedrijfswerkplek. KPN heeft een aantal diensten die hier op inspelen MKB Werkplek Basis is een veilige effectieve dienst voor ondernemingen met 1 tot 5 medewerkers. Ga overal aan de slag met uw eigen bestanden voor 39,95 euro per werkplek. MKB Werkplek Online is er voor ondernemingen tot 150 medewerkers die veilig documenten willen beheren en altijd op elke locatie willen kunnen werken. 79,95 per maand. Zakelijk Office 365 zorgt ervoor dat u altijd beschikt over uw zakelijke en documenten. Via de cloud hebt u altijd de juiste documenten bij de hand. Vamaf 7,95 euro per maand. Meer info Lees meer over het thema veiligheid op KPN&Co: 20

21 STAPPENPLAN BEVEILIGEN Stap 6: Beveilig systemen Installeer een antivirusprogramma op de apparaten die met jouw bedrijfsnetwerk verbonden zijn en zorg dat deze software up-to-date is. Zorg dat informatie die over je interne bedrijfsnetwerk gaat, versleuteld is. Zorg daarnaast voor monitoring op je bedrijfsnetwerken. Je kunt dit met software automatisch regelen. Stel encryptie in op het bedrijfsnetwerk (bijv WPA2) en kies een sterk wachtwoord. Als je jouw bezoekers of klanten ook internet wilt geven, leg dan een apart bezoekersnetwerk aan of stel een bezoekersprofiel in. Installeer een firewall en zorg ervoor dat deze altijd up-to-date is. Stel op de firewall ook een zelf gekozen wachtwoord in. Loop na welk soort verbindingen je hebt met de buitenwereld en zorg dat dez goed beveiligd zijn. Maak hierbij gebruik van experts om dit te controleren. Leg bij de aankoop van nieuwe ICT vast wat de beveiligingseisen zijn. Zorg dat dit ook in de opdracht aan de leverancier staat. Schaf alleen software en hardware aan bij originele leveranciers en hun officiële verkoopkanalen. Zorg dat je medewerkers weten welke software ze op internet ( in the cloud ) mogen gebruiken. Stel het direct updaten van software verplicht. Veel inbraken of lekken ontstaan door software die niet up to date is. Test de beveiliging regelmatig en betrek daarbij ook eens een extern bureau. Tip: Denk na over wat je online zet Vraag je bij ieder bericht, iedere foto en iedere video die je online zet af of een ander er kwaad mee kan doen. Ook gewone inbrekers struinen internet af op woorden als vakantie. Tip: Hou rekening met de privacy van anderen Doe bij een ander niet wat je niet wilt dat bij jezelf geschiedt. Dus kijk uit wat je online over een ander zegt en van een ander laat zien. 21

22 Gebruiksvoorwaarden Alle social media hebben gebruiksvoorwaarden. Daarin kun je zien wat een dienst met je gegevens mag doen als je met de gebruiksvoorwaarden akkoord gaat. Vrijwel niemand leest die voorwaarden en klikt simpelweg op ja. Want mensen willen zijn waar hun vrienden, collega s of zakenrelaties actief zijn. Maar wie de gebruiksvoorwaarden wel leest, schrikt soms. Dus hou je aan de hoofdregel: denk na. Vraag je af wat de toegevoegde waarde van alles wat je online doet is en laat achterwege wat je later kan achtervolgen. Wetten en regels Per wet is bescherming van de persoonlijke levenssfeer geregeld. Daar kunnen verschillende dingen onder worden verstaan. Bijvoorbeeld de bescherming van persoonsgegevens, maar ook bescherming van het gezinsleven. Sinds 2001 kennen we de Wet bescherming persoonsgegevens (Wbp). In die wet is onder meer geregeld dat partijen die persoonsgegevens verwerken dat alleen mogen doen met toestemming van betrokkenen en dat ze moeten laten weten wat ze met de gegevens gaan doen. De wet geeft de burger het recht om te weten wat er met zijn gegevens gebeurt en daar bezwaar tegen te maken. Dat een bedrijf een grote verantwoordelijkheid heeft als het gaat om de data van zijn klanten, spreekt voor zichzelf. En dus is het belangrijk dat veiligheid en betrouwbaarheid op orde zijn. 22

23 STAPPENPLAN BEVEILIGEN Stap 7: Zorg voor updates en back-ups Zorg voor een procedure voor het updaten van software die bekend is bij medewerkers en systeembeheer. Leg dit vast in de beveiligingsrichtlijnen. Stel het direct updaten van software verplicht. Veel inbraken of lekken onstaan door software die niet up to date is. Stel een procedure op voor het maken van back-ups, onderhoud van soft- en hardware en het beheer en beveiliging van computerruimten. Maak regelmatig een (online) back-up van alle belangrijke gegevens. Hoe vaak hangt af van hoe snel de gegevens veranderen. Denk er ook hier aan gevoelige gegevens te versleutelen. Bewaar back-ups op een veilige afstand. Dit is ondermeer eenvoudig te regelen door een online back-up, waarbij gegevens in een speciaal datacenter worden opgeslagen. Test iedere back-up of deze goed is uitgevoerd om verrassingen in geval van nood te voorkomen. Zorg ervoor dat jouw medewerkers software, documentatie en wachtwoorden op een zorgvuldige plaats bewaren en zorg dat je hier ook als directie bij kunt. Tip: Wees voorzichtig met persoonlijke gegevens Kijk heel goed uit met het verstrekken van gebruikersnamen en wachtwoorden. En weet dat banken en financieële dienstverleners je hier nooit per mail om zullen vragen. Tip: Gebruik reguliere banken Bij reguliere banken zijn transacties traceerbaar en in sommige gevallen omkeerbaar. Voor veel alternatieve betaaldiensten geldt dit niet. 23

24 De toekomst De ontwikkelingen op het gebied van beveiligen gaan hard. Omdat criminelen steeds slimmer worden, zijn nieuwe maatregelen belangrijk. We signaleren drie fases van beschermen: reactief, pro-actief en adaptief. Om dat te verduidelijken wordt binnen KPN de vergelijking met auto s gemaakt. Reactief is als een veiligheidsgordel. Als voorzorgsmaatregel doe je hem om, net zoals je in een netwerk een firewall installeert om inbraak te voorkomen. Pro-actief is als een airbag, hij is aanwezig, maar komt tevoorschijn wanneer nodig. Adaptief is in de toekomst een auto die met o.a. sensoren is uitgerust zodat ie kan inspelen op omstandigheden en voorkomt dat een auto botst. Ook in computerland krijgen we in de toekomst die vorm van slimheid. We krijgen bijvoorbeeld trust-agents die continu gedrag monitoren en analyseren en daar op inspelen. Als een gebruiker zich anders dan anders gaat gedragen, bijvoorbeeld dat hij altijd naar KPN adressen mailt en dan opeens naar KPMG, dan kan het systeem vragen of dat de bedoeling is, of dat het een typefout is. Afwijkend gedrag kan in een geval als dit bijvoorbeeld op menselijke fouten wijzen of op identiteitsfraude. Zogenoemde personal trust-agents gaan ons daar bij helpen. Die toekomst is belangrijk omdat de ontwikkelingen snel gaan en omdat de digitale wereld complex is en anders dan de fysieke wereld in elkaar zit. In computerland praten systemen met elkaar en als wij online zijn, hebben we geen weet van de complete keten die geactiveerd wordt. Menselijk handelen is dan onvoldoende om voor veiligheid te zorgen. Maar tot die personal trust-agents er zijn, moeten we doen wat we in eigen hand hebben. Daar probeert dit e-book bij te helpen. Aan de slag 24